SWARCO TRAFFIC SYSTEMS 製 SWARCO CPU LS4000 に不適切なアクセス制御に関する脆弱性｜セキュリティ・脆弱性診断のことならピーエスシー

【概要】
SWARCO CPU LS4000 は、信号機のコントローラに組み込まれているチップソフトウェアです。SWARCO CPU LS4000 には、デバッグに使用するポートが存在し、認証なしでネットワーク経由の接続が可能です。その結果、機器へルート権限で接続可能な不適切なアクセス制御の脆弱性 (CWE-284) が存在します。
【CVSS による深刻度 (CVSS とは?)】
CVSS v3 による深刻度　　基本値: 10.0 (緊急) [NVD値] 　　　・攻撃元区分: ネットワーク　　　・攻撃条件の複雑さ: 低　　　・攻撃に必要な特権レベル: 不要　　　・利用者の関与: 不要　　　・影響の想定範囲: 変更あり　　　・機密性への影響(C): 高　　　・完全性への影響(I): 高　　　・可用性への影響(A): 高　　CVSS v2 による深刻度　　基本値: 10.0 (危険) [NVD値] 　　　・攻撃元区分: ネットワーク　　　・攻撃条件の複雑さ: 低　　　・攻撃前の認証要否: 不要　　　・機密性への影響(C): 全面的　　　・完全性への影響(I): 全面的　　　・可用性への影響(A): 全面的

【影響を受けるシステム】
SWARCO TRAFFIC SYSTEMS 　・CPU LS4000 G4 以降のすべての OS バージョン

【想定される影響】
遠隔の第三者によって、コントローラに接続している機器の操作が行われる可能性があります。
【対策】
[パッチを適用する] 開発者が提供する情報をもとに、パッチを適用してください。
【ベンダ情報】
SWARCO TRAFFIC SYSTEMS 　　・SWARCO TRAFFIC SYSTEMS : SWARCO: Critical Vulnerability in CPU LS4000 　　・SWARCO TRAFFIC SYSTEMS : Traffic Light Controllers
【CWEによる脆弱性タイプ一覧】 CWEとは?
不適切な権限管理(CWE-269) [NVD評価]
【共通脆弱性識別子(CVE) 】 CVEとは?
CVE-2020-12493
出典：JVN iPdeia

一覧に戻る